Event Threat Detection 개요

Event Threat Detection이란?

Event Threat Detection은 조직 또는 프로젝트를 지속적으로 모니터링하고 시스템 내에서 위협을 실시간으로 파악하여 Security Command Center 프리미엄 등급의 기본 서비스입니다. 클라우드 범위에서 새로운 위협을 식별하기 위해 새로운 감지기를 통해 Event Threat Detection이 정기적으로 업데이트됩니다.

Event Threat Detection 작동 방식

Event Threat Detection은 조직 또는 프로젝트의 Cloud Logging 스트림을 모니터링합니다. 조직 수준에서 Security Command Center 프리미엄 등급을 활성화하면 Event Threat Detection에서 프로젝트 생성 시 프로젝트의 로그를 사용하고 Event Threat Detection에서 Google Workspace 로그를 모니터링할 수 있습니다. Cloud Logging에는 API 호출과 리소스 구성 또는 메타데이터를 만들거나, 읽거나, 수정하는 기타 작업에 대한 로그 항목이 포함됩니다. Google Workspace 로그는 도메인에 대한 사용자 로그인을 추적하고 Google Workspace 관리자 콘솔에서 수행되는 작업들에 대한 기록을 제공합니다.

로그 항목에는 Event Threat Detection이 위협을 빠르게 감지하는 데 사용하는 상태 및 이벤트 정보가 포함됩니다. Event Threat Detection은 tripwire 표시기 매칭, 기간별 프로파일링, 고급 프로파일링, 머신러닝, 이상 감지 등 독점 위협 인텔리전스와 감지 로직을 적용하여 거의 실시간으로 위협을 식별합니다.

Event Threat Detection에서 위협을 감지하면 Security Command Center에 발견 항목을 기록합니다. 조직 수준에서 Security Command Center 프리미엄 등급을 활성화하면 Security Command Center가 Cloud Logging 프로젝트에 발견 항목을 기록할 수 있습니다. Cloud Logging 및 Google Workspace 로깅에서 Pub/Sub을 사용하여 발견 항목을 다른 시스템으로 내보내고 Cloud Run Functions로 처리할 수 있습니다.

조직 수준에서 Security Command Center 프리미엄 등급을 활성화하면 Google Security Operations를 추가로 사용하여 일부 발견 항목을 조사할 수 있습니다. Google SecOps는 통합 타임라인에서 위협을 조사하고 관련 항목을 피벗할 수 있게 해주는 Google Cloud 서비스입니다. Google SecOps에 발견 항목을 보내는 방법은 Google SecOps의 발견 항목 조사를 참조하세요.

발견 항목 및 로그를 보고 수정하는 기능은 사용자에게 부여된 Identity and Access Management(IAM) 역할에 따라 결정됩니다. Security Command Center IAM 역할에 대한 자세한 내용은 액세스 제어를 참조하세요.

Event Threat Detection 규칙

규칙은 Event Threat Detection에서 감지하는 위협의 유형과 감지기가 작동하려면 사용 설정해야 하는 로그 유형을 정의합니다. 관리자 활동 감사 로그는 항상 기록되며 구성을 변경하거나 사용 중지할 수 없습니다.

Event Threat Detection에는 다음과 같은 기본 규칙이 포함됩니다.

표시 이름 API 이름 로그 소스 유형 설명
활성 스캔: RCE에 취약한 Log4j 사용할 수 없음 Cloud DNS 로그 지원되는 Log4j 취약점 스캐너에서 시작한 난독화되지 않은 도메인의 DNS 쿼리를 식별하여 활성 Log4j 취약점을 감지합니다.
시스템 복구 차단: Google Cloud 백업 및 DR 호스트가 삭제됨 BACKUP_HOSTS_DELETE_HOST Cloud 감사 로그:
백업 및 DR 서비스 데이터 액세스 로그
호스트가 백업 및 DR에서 삭제되었습니다. 삭제된 호스트와 연결된 애플리케이션은 보호되지 않을 수 있습니다.
데이터 폐기: Google Cloud 백업 및 DR 만료 이미지 BACKUP_EXPIRE_IMAGE Cloud 감사 로그:
백업 및 DR 데이터 액세스 로그
사용자가 백업 및 DR에서 백업 이미지 삭제를 요청했습니다. 백업 이미지를 삭제해도 향후 백업은 방지되지 않습니다.
시스템 복구 차단: Google Cloud 백업 및 DR 삭제 계획 BACKUP_REMOVE_PLAN Cloud 감사 로그:
백업 및 DR 데이터 액세스 로그
애플리케이션에 대한 여러 정책이 포함된 백업 계획이 백업 및 DR에서 삭제되었습니다. 백업 계획을 삭제하면 향후 백업이 방지될 수 있습니다.
데이터 폐기: Google Cloud 백업 및 DR에서 모든 이미지를 만료 BACKUP_EXPIRE_IMAGES_ALL Cloud 감사 로그:
백업 및 DR 데이터 액세스 로그
사용자가 백업 및 DR에서 보호된 애플리케이션의 모든 백업 이미지 삭제를 요청했습니다. 백업 이미지를 삭제해도 향후 백업은 방지되지 않습니다.
시스템 복구 차단: Google Cloud 백업 및 DR 삭제 템플릿 BACKUP_TEMPLATES_DELETE_TEMPLATE Cloud 감사 로그:
백업 및 DR 데이터 액세스 로그
여러 애플리케이션의 백업을 설정하는 데 사용되는 사전 정의된 백업 템플릿이 삭제되었습니다. 향후 백업을 설정하는 기능에 영향을 줄 수 있습니다.
시스템 복구 차단: Google Cloud 백업 및 DR 삭제 정책 BACKUP_TEMPLATES_DELETE_POLICY Cloud 감사 로그:
백업 및 DR 데이터 액세스 로그
백업 수행 방법과 저장 위치를 정의하는 백업 및 DR 정책이 삭제되었습니다. 이 정책을 사용하는 향후 백업이 실패할 수 있습니다.
시스템 복구 차단: Google Cloud 백업 및 DR 삭제 프로필 BACKUP_PROFILES_DELETE_PROFILE Cloud 감사 로그:
백업 및 DR 데이터 액세스 로그
백업을 저장하는 데 사용할 스토리지 풀을 정의하는 백업 및 DR 프로필이 삭제되었습니다. 향후 이 프로필을 사용하는 백업이 실패할 수 있습니다.
데이터 폐기: Google Cloud 백업 및 DR을 통해 어플라이언스 삭제 BACKUP_APPLIANCES_REMOVE_APPLIANCE Cloud 감사 로그:
백업 및 DR 데이터 액세스 로그
백업 어플라이언스가 백업 및 DR에서 삭제되었습니다. 삭제된 백업 어플라이언스와 연결된 애플리케이션은 보호되지 않을 수 있습니다.
시스템 복구 차단: Google Cloud 백업 및 DR 삭제 스토리지 풀 BACKUP_STORAGE_POOLS_DELETE Cloud 감사 로그:
백업 및 DR 데이터 액세스 로그
Cloud Storage 버킷을 백업 및 DR과 연결하는 스토리지 풀이 백업 및 DR에서 삭제되었습니다. 이 스토리지 대상에 대한 향후 백업이 실패합니다.
영향: Google Cloud 백업 및 DR의 백업 만료일이 앞당겨짐 BACKUP_REDUCE_BACKUP_EXPIRATION Cloud 감사 로그:
백업 및 DR 데이터 액세스 로그
백업 및 DR로 보호되는 백업의 만료일이 줄었습니다.
영향: Google Cloud 백업 및 DR의 백업 빈도 감소 BACKUP_REDUCE_BACKUP_FREQUENCY Cloud 감사 로그:
백업 및 DR 데이터 액세스 로그
백업 및 DR 백업 일정이 수정되어 백업 빈도가 줄었습니다.
무작위 공격 SSH BRUTE_FORCE_SSH authlog 호스트에서 SSH의 성공적인 무작위 공격을 감지합니다.
Cloud IDS: THREAT_IDENTIFIER CLOUD_IDS_THREAT_ACTIVITY Cloud IDS 로그

Cloud IDS에서 감지하는 위협 이벤트입니다.

Cloud IDS는 미러링된 패킷을 분석하여 레이어 7 공격을 감지하고 위협 이벤트가 감지되면 Security Command Center로 위협 클래스 발견 항목을 전송합니다. 발견 항목 카테고리 이름은 'Cloud IDS'로 시작하고 이어서 Cloud IDS 위협 식별자가 표시됩니다.

Cloud IDS와 Event Threat Detection의 통합에는 Cloud IDS 취약점 감지가 포함되지 않습니다.

Cloud IDS 감지에 대한 자세한 내용은 Cloud IDS Logging 정보를 참조하세요.

사용자 인증 정보 액세스: 권한 있는 그룹에 추가된 외부 구성원 EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Google Workspace 로그:
로그인 감사
권한:
DATA_READ

외부 구성원이 권한 있는 Google 그룹(중요한 역할 또는 권한이 부여된 그룹)에 추가되는 이벤트를 감지합니다. 새로 추가된 구성원과 동일한 조직의 외부 구성원이 그룹에 아직 추가되지 않은 경우에만 발견 항목이 생성됩니다. 자세한 내용은 안전하지 않은 Google 그룹 변경을 참조하세요.

발견 항목은 그룹 변경과 연결된 역할의 중요도에 따라 높음 또는 중간 중요도로 분류됩니다. 자세한 내용은 중요한 IAM 역할 및 권한을 참조하세요.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

사용자 인증 정보 액세스: 공개로 설정된 권한이 있는 그룹 PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
관리 감사
권한:
DATA_READ

권한 있는 Google 그룹(중요한 역할 또는 권한이 부여된 그룹)이 일반 대중에 액세스 가능하도록 변경되는 이벤트를 감지합니다. 자세한 내용은 안전하지 않은 Google 그룹 변경을 참조하세요.

발견 항목은 그룹 변경과 연결된 역할의 중요도에 따라 높음 또는 중간 중요도로 분류됩니다. 자세한 내용은 중요한 IAM 역할 및 권한을 참조하세요.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

사용자 인증 정보 액세스: 하이브리드 그룹에 부여된 중요한 역할 SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Cloud 감사 로그:
IAM 관리자 활동 감사 로그

외부 구성원이 포함된 Google 그룹에 중요한 역할이 부여되는 이벤트를 감지합니다. 자세한 내용은 안전하지 않은 Google 그룹 변경을 참조하세요.

발견 항목은 그룹 변경과 연결된 역할의 중요도에 따라 높음 또는 중간 중요도로 분류됩니다. 자세한 내용은 중요한 IAM 역할 및 권한을 참조하세요.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

방어 회피: Breakglass 워크로드 배포 생성됨(미리보기) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Cloud 감사 로그:
관리자 활동 로그
break-glass 플래그를 사용해 Binary Authorization 설정을 재정의하여 배포된 워크로드 배포를 감지합니다.
방어 회피: Breakglass 워크로드 배포 업데이트됨(미리보기) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Cloud 감사 로그:
관리자 활동 로그
break-glass 플래그를 사용해 Binary Authorization 설정을 재정의하여 워크로드가 업데이트되면 감지합니다.
방어 회피: VPC 서비스 제어 수정 DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Cloud 감사 로그 VPC 서비스 제어 감사 로그

경계에서 제공하는 보호 효과를 저해하는 기존 VPC 서비스 제어 경계의 변경사항을 감지합니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

탐색: 민감한 Kubernetes 객체 확인 가능 GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Cloud 감사 로그:
GKE 데이터 액세스 로그

잠재적으로 악의적인 행위자가 kubectl auth can-i get 명령어를 사용하여 쿼리할 수 있는 GKE의 민감한 객체를 확인하려고 시도했습니다. 특히 규칙은 행위자가 다음 객체에 대한 API 액세스를 확인했는지 여부를 감지합니다.

탐색: 서비스 계정 자체 조사 SERVICE_ACCOUNT_SELF_INVESTIGATION Cloud 감사 로그:
IAM 데이터 액세스 감사 로그
권한:
DATA_READ

동일한 서비스 계정과 연결된 역할 및 권한을 조사하는 데 사용되는 IAM 서비스 계정 사용자 인증 정보를 감지합니다.

민감한 역할

발견 항목은 부여된 역할의 중요도에 따라 높음 또는 중간 중요도로 분류됩니다. 자세한 내용은 중요한 IAM 역할 및 권한을 참조하세요.

삭제: 익명처리 프록시에서 액세스 ANOMALOUS_ACCESS Cloud 감사 로그:
관리자 활동 로그
Tor IP 주소와 같은 익명 프록시 IP 주소에서 시작된 Google Cloud 서비스 수정을 감지합니다.
유출: BigQuery 데이터 무단 반출 DATA_EXFILTRATION_BIG_QUERY Cloud 감사 로그: BigQueryAuditMetadata 데이터 액세스 로그
권한:
DATA_READ

다음 시나리오를 감지합니다.

  • 보호되는 조직에서 소유한 리소스로서 복사 또는 전송 작업 등 조직 외부에 저장된 리소스.

    이 시나리오는 exfil_to_external_table 하위 규칙과 HIGH 심각도로 표시됩니다.

  • VPC 서비스 제어로 보호되는 BigQuery 리소스에 액세스하려는 시도.

    이 시나리오는 vpc_perimeter_violation 하위 규칙과 LOW 심각도로 표시됩니다.

유출: BigQuery 데이터 추출 DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Cloud 감사 로그: BigQueryAuditMetadata 데이터 액세스 로그
권한:
DATA_READ

다음 시나리오를 감지합니다.

  • 보호되는 조직에서 소유한 BigQuery 리소스는 추출 작업을 통해 조직 외부의 Cloud Storage 버킷에 저장됩니다.
  • 보호되는 조직에서 소유한 BigQuery 리소스는 추출 작업을 통해 조직에서 소유한 공개적으로 액세스 가능한 Cloud Storage 버킷에 저장됩니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 표준 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

유출: Google 드라이브에 대한 BigQuery 데이터 DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Cloud 감사 로그: BigQueryAuditMetadata 데이터 액세스 로그
권한:
DATA_READ

다음을 감지합니다.

  • 보호되는 조직에서 소유한 BigQuery 리소스는 추출 작업을 통해 Google Drive 폴더에 저장됩니다.
유출: 공개 BigQuery 리소스로 이동 DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE Cloud 감사 로그: BigQueryAuditMetadata 데이터 액세스 로그
권한:
DATA_READ

다음을 감지합니다.

  • BigQuery 리소스가 조직에서 소유한 공개 리소스에 저장됩니다.
유출: Cloud SQL 데이터 무단 반출 CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS
Cloud 감사 로그: MySQL 데이터 액세스 로그
PostgreSQL 데이터 액세스 로그
SQL 서버 데이터 액세스 로그

다음 시나리오를 감지합니다.

  • 조직 외부의 Cloud Storage 버킷으로 내보내는 실시간 인스턴스 데이터
  • 조직에서 소유하고 공개적으로 액세스할 수 있는 Cloud Storage 버킷으로 내보내는 실시간 인스턴스 데이터

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 표준 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

유출: 외부 조직으로 Cloud SQL 복원 백업 CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Cloud 감사 로그: MySQL 관리자 활동 로그
PostgreSQL 관리자 활동 로그
SQL 서버 관리자 활동 로그

Cloud SQL 인스턴스 백업이 조직 외부의 인스턴스에 복원되는 이벤트를 감지합니다.

유출: Cloud SQL 초과 권한 부여 CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Cloud 감사 로그: PostgreSQL 데이터 액세스 로그
참고: 이 규칙을 사용하려면 pgAudit 확장 프로그램을 사용 설정해야 합니다.
PostgreSQL용 Cloud SQL 사용자나 역할이 데이터베이스 또는 스키마의 모든 테이블, 프러시저, 함수에 대해 모든 권한을 부여받은 이벤트를 감지합니다.
초기 액세스: 사용자 테이블에 대한 데이터베이스 수퍼유저 작성 CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Cloud 감사 로그: PostgreSQL용 Cloud SQL 데이터 액세스 로그
MySQL용 Cloud SQL 데이터 액세스 로그
참고: MySQL에서 이 규칙을 사용하려면 PostgreSQL용 pgAudit 확장 프로그램 또는 MySQL용 데이터베이스 감사를 사용 설정해야 합니다.
Cloud SQL 수퍼유저(PostgreSQL 서버의 경우 postgres, MySQL 사용자의 경우 root)가 시스템 이외 테이블에 쓰는 이벤트를 감지합니다.
권한 에스컬레이션: AlloyDB 초과 권한 부여 ALLOYDB_USER_GRANTED_ALL_PERMISSIONS Cloud 감사 로그: PostgreSQL용 AlloyDB 데이터 액세스 로그
참고: pgAudit 확장 프로그램에서 이 규칙을 사용해야 합니다.
PostgreSQL용 AlloyDB 사용자나 역할이 데이터베이스 또는 스키마의 모든 테이블, 프러시저, 함수에 대해 모든 권한을 부여받은 이벤트를 감지합니다.
권한 에스컬레이션: 사용자 테이블에 대한 AlloyDB 데이터베이스 수퍼유저 작성 ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES Cloud 감사 로그: PostgreSQL용 AlloyDB 데이터 액세스 로그
참고: pgAudit 확장 프로그램에서 이 규칙을 사용해야 합니다.
PostgreSQL용 AlloyDB 수퍼유저(postgres)가 시스템 이외 테이블에 쓰는 이벤트를 감지합니다.
초기 액세스: 휴면 서비스 계정 작업 DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Cloud 감사 로그: 관리자 활동 로그 휴면 사용자 관리 서비스 계정이 작업을 트리거한 이벤트를 감지합니다. 이 경우 서비스 계정은 180일 이상 비활성 상태인 경우 휴면으로 간주됩니다.
권한 에스컬레이션: 휴면 서비스 계정에 민감한 역할 부여 DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE Cloud 감사 로그: IAM 관리자 활동 감사 로그

휴면 사용자 관리형 서비스 계정에 하나 이상의 중요한 IAM 역할이 부여된 이벤트를 감지합니다. 이 경우 서비스 계정은 180일 이상 비활성 상태인 경우 휴면으로 간주됩니다.

민감한 역할

발견 항목은 부여된 역할의 중요도에 따라 높음 또는 중간 중요도로 분류됩니다. 자세한 내용은 중요한 IAM 역할 및 권한을 참조하세요.

지속성: 휴면 서비스 계정에 부여된 가장 역할 DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED Cloud 감사 로그: IAM 관리자 활동 감사 로그 주 구성원에게 휴면 사용자 관리형 서비스 계정을 가장할 수 있는 권한이 부여된 이벤트를 감지합니다. 이 경우 서비스 계정은 180일 이상 비활성 상태인 경우 휴면으로 간주됩니다.
초기 액세스: 휴면 서비스 계정 키 생성됨 DORMANT_SERVICE_ACCOUNT_KEY_CREATED Cloud 감사 로그: 관리자 활동 로그 휴면 사용자 관리형 서비스 계정의 키가 생성된 이벤트를 감지합니다. 이 경우 서비스 계정은 180일 이상 비활성 상태인 경우 휴면으로 간주됩니다.
초기 액세스: 유출된 서비스 계정 키 사용됨 LEAKED_SA_KEY_USED Cloud 감사 로그: 관리자 활동 로그
데이터 액세스 로그
유출된 서비스 계정 키를 사용해 작업을 인증하는 이벤트를 감지합니다. 이때 유출된 서비스 계정 키는 공개 인터넷에 게시되었던 키입니다.
초기 액세스: 과도한 권한 거부 작업 EXCESSIVE_FAILED_ATTEMPT Cloud 감사 로그: 관리자 활동 로그 주 구성원이 여러 메서드 및 서비스에서 변경사항을 시도하여 권한 거부됨 오류를 반복적으로 트리거하는 이벤트를 감지합니다.
방어력 손상: 강력한 인증이 사용 중지됨 ENFORCE_STRONG_AUTHENTICATION Google Workspace:
관리자 감사

조직의 2단계 인증이 사용 중지되었습니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

방어력 손상: 2단계 인증이 사용 중지됨 2SV_DISABLE Google Workspace 로그:
로그인 감사
권한:
DATA_READ

사용자가 2단계 인증을 사용 중지했습니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

초기 액세스: 계정 사용 중지됨 계정 도용 ACCOUNT_DISABLED_HIJACKED Google Workspace 로그:
로그인 감사
권한:
DATA_READ

의심스러운 활동으로 인해 사용자의 계정이 정지되었습니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

초기 액세스: 사용 중지됨 비밀번호 유출 ACCOUNT_DISABLED_PASSWORD_LEAK Google Workspace 로그:
로그인 감사
권한:
DATA_READ

비밀번호 유출이 감지되어 사용자의 계정이 사용 중지되었습니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

초기 액세스: 정부 기반 공격 GOV_ATTACK_WARNING Google Workspace 로그:
로그인 감사
권한:
DATA_READ

정부 지원 해킹 공격자가 사용자 계정이나 컴퓨터를 도용하려고 했을 수 있습니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

초기 액세스: Log4j 손상 시도 사용할 수 없음 Cloud Load Balancing 로그:
Cloud HTTP 부하 분산기
참고: 이 규칙을 사용하려면 외부 애플리케이션 부하 분산기 로깅을 사용 설정해야 합니다.

헤더나 URL 파라미터 내에서 Java Naming and Directory Interface(JNDI) 조회를 감지합니다. 이러한 조회는 Log4Shell 익스플로잇 시도를 나타낼 수 있습니다. 이러한 발견 항목은 취약점이나 손상이 아닌 감지나 익스플로잇 시도만 나타내므로 심각도가 낮습니다.

이 규칙은 상시 사용 설정되어 있습니다.

초기 액세스: 의심스러운 로그인이 차단됨 SUSPICIOUS_LOGIN Google Workspace 로그:
로그인 감사
권한:
DATA_READ

사용자의 계정에 대한 의심스러운 로그인이 감지되어 차단되었습니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

Log4j 멀웨어: 잘못된 도메인 LOG4J_BAD_DOMAIN Cloud DNS 로그 Log4j 공격에 사용되는 알려진 도메인에 대한 연결이나 조회를 기반으로 Log4j 익스플로잇 트래픽을 감지합니다.
Log4j 멀웨어: 잘못된 IP LOG4J_BAD_IP VPC 흐름 로그
방화벽 규칙 로그
Cloud NAT 로그
Log4j 공격에 사용되는 알려진 IP 주소에 대한 연결을 기반으로 Log4j 익스플로잇 트래픽을 감지합니다.
멀웨어: 불량 도메인 MALWARE_BAD_DOMAIN Cloud DNS 로그 알려진 불량 도메인에 대한 연결 또는 조회를 기반으로 멀웨어를 감지합니다.
멀웨어: 잘못된 IP MALWARE_BAD_IP VPC 흐름 로그
방화벽 규칙 로그
Cloud NAT 로그
알려진 불량 IP 주소에 대한 연결을 기반으로 멀웨어를 감지합니다.
멀웨어: 암호화폐 채굴 불량 도메인 CRYPTOMINING_POOL_DOMAIN Cloud DNS 로그 알려진 마이닝 도메인과의 연결 또는 조회를 기반으로 암호화폐 채굴을 감지합니다.
멀웨어: 암호화폐 채굴 불량 IP CRYPTOMINING_POOL_IP VPC 흐름 로그
방화벽 규칙 로그
Cloud NAT 로그
알려진 마이닝 IP 주소에 대한 연결을 기반으로 암호화폐 채굴을 감지합니다.
발신 DoS종료 OUTGOING_DOS VPC 흐름 로그 발신 서비스 거부 트래픽을 감지합니다.
지속성: GCE 관리자가 SSH 키를 추가함 GCE_ADMIN_ADD_SSH_KEY Cloud 감사 로그:
Compute Engine 감사 로그
설정된 인스턴스(1주일 넘게 경과)에서 Compute Engine 인스턴스 메타데이터 ssh 키 값에 대한 수정 사항을 감지합니다.
지속성: GCE 관리자가 시작 스크립트를 추가함 GCE_ADMIN_ADD_STARTUP_SCRIPT Cloud 감사 로그:
Compute Engine 감사 로그
설정된 인스턴스(1주일 넘게 경과)에서 Compute Engine 인스턴스 메타데이터 시작 스크립트 값에 대한 수정 사항을 감지합니다.
지속성: IAM 비정상적인 권한 부여 IAM_ANOMALOUS_GRANT Cloud 감사 로그:
IAM 관리자 활동 감사 로그

이 발견 항목에는 이 발견 항목의 각 인스턴스에 대한 더 구체적인 정보가 담긴 하위 규칙이 포함되어 있습니다.

다음 목록에는 가능한 모든 하위 규칙이 나와 있습니다.

  • external_service_account_added_to_policy, external_member_added_to_policy: 조직의 구성원이 아닌 IAM 사용자 및 서비스 계정에 부여된 권한을 감지합니다(프로젝트 레벨에서 Security Command Center가 활성화된 경우, 프로젝트).

    참고: Security Command Center가 모든 등급에서 조직 수준에서 활성화된 경우 이 감지기는 조직의 기존 IAM 정책을 컨텍스트로 사용합니다. Security Command Center 활성화가 프로젝트 수준에서만 이루어진 경우 감지기는 프로젝트의 IAM 정책만 컨텍스트로 사용합니다.

    외부 구성원에게 민감한 IAM을 부여하고 유사한 기존 IAM 정책이 3개 미만 있으면 이 감지기는 발견 항목을 생성합니다.

    민감한 역할

    발견 항목은 부여된 역할의 중요도에 따라 높음 또는 중간 중요도로 분류됩니다. 자세한 내용은 중요한 IAM 역할 및 권한을 참조하세요.

  • external_member_invited_to_policy: InsertProjectOwnershipInvite API를 통해 외부 구성원이 프로젝트 소유자로 초대될 때 이를 감지합니다.
  • custom_role_given_sensitive_permissions: setIAMPolicy 권한이 커스텀 역할에 추가될 때 이를 감지합니다.
  • service_account_granted_sensitive_role_to_member: 서비스 계정을 통해 구성원에 권한이 부여될 때 이를 감지합니다. 이 하위 규칙은 기본 IAM 역할과 특정 데이터 스토리지 역할만 포함하는 민감한 역할의 하위 집합에 의해 트리거됩니다. 자세한 내용은 중요한 IAM 역할 및 권한을 참조하세요.
  • policy_modified_by_default_compute_service_account: 프로젝트 IAM 설정을 수정하는 데 기본 Compute Engine 서비스 계정이 사용될 때 이를 감지합니다.
지속성: 비관리 계정에 민감한 역할 부여(미리보기) UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE Cloud 감사 로그:
IAM 관리자 활동 감사 로그
비관리 계정에 부여되는 중요한 역할을 감지합니다.
지속성: 새로운 API 메서드
ANOMALOUS_BEHAVIOR_NEW_API_METHOD Cloud 감사 로그:
관리자 활동 로그
IAM 서비스 계정을 통한 Google Cloud 서비스의 비정상적인 사용을 감지합니다.
지속성: 새로운 지역 IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Cloud 감사 로그:
관리자 활동 로그

요청 IP 주소의 위치정보를 토대로 비정상적인 위치에서 Google Cloud에 액세스하는 IAM 사용자 및 서비스 계정을 감지합니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

지속성: 새로운 사용자 에이전트 IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Cloud 감사 로그:
관리자 활동 로그

비정상적이거나 의심스러운 사용자 에이전트에서 Google Cloud에 액세스하는 IAM 서비스 계정을 감지합니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

지속성: SSO 사용 설정 전환 TOGGLE_SSO_ENABLED Google Workspace:
관리자 감사

관리자 계정의 SSO(싱글 사인온) 사용 설정이 사용 중지되었습니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

지속성: SSO 설정이 변경됨 CHANGE_SSO_SETTINGS Google Workspace:
관리자 감사

관리자 계정의 SSO 설정이 변경되었습니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

권한 에스컬레이션: 관리자 활동을 위한 비정상적인 서비스 계정 가장 ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Cloud 감사 로그:
관리자 활동 로그
잠재적으로 비정상적인 가장 서비스 계정이 관리 활동에 사용되는 경우를 감지합니다.
권한 에스컬레이션: 관리자 활동을 위한 비정상적인 다단계 서비스 계정 위임 ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Cloud 감사 로그:
관리자 활동 로그
관리 활동에 비정상적인 다단계 위임된 요청이 발견되면 감지합니다.
권한 에스컬레이션: 데이터 액세스를 위한 비정상적인 다단계 서비스 계정 위임 ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Cloud 감사 로그:
데이터 액세스 로그
데이터 액세스 활동을 위한 비정상적인 다단계 위임 요청이 발견되면 감지합니다.
권한 에스컬레이션: 관리자 활동을 위한 비정상적인 서비스 계정 가장 ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Cloud 감사 로그:
관리자 활동 로그
관리 활동에 위임 체인의 잠재적으로 비정상적인 호출자/가장이 사용된 경우를 감지합니다.
권한 에스컬레이션: 데이터 액세스를 위한 비정상적인 서비스 계정 가장 ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Cloud 감사 로그:
데이터 액세스 로그
데이터 액세스 활동에 위임 체인의 잠재적으로 비정상적인 호출자/가장이 사용된 경우를 감지합니다.
권한 에스컬레이션: 민감한 Kubernetes RBAC 객체 변경 GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Cloud 감사 로그:
GKE 관리자 활동 로그
권한을 에스컬레이션하기 위해 잠재적인 악의적 행위자가 PUT 또는 PATCH 요청을 사용하여 민감한 cluster-admin 역할의 ClusterRole, RoleBinding 또는 ClusterRoleBinding 역할 기반 액세스 제어(RBAC) 객체를 수정하려고 시도했습니다.
권한 에스컬레이션: 마스터 인증서에 대한 Kubernetes CSR 만들기 GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Cloud 감사 로그:
GKE 관리자 활동 로그
잠재적인 악의적 행위자가 Kubernetes 마스터 인증서 서명 요청(CSR)을 만들고 cluster-admin 액세스 권한을 부여합니다.
권한 에스컬레이션: 민감한 Kubernetes 바인딩 만들기 GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Cloud 감사 로그:
IAM 관리자 활동 감사 로그
권한을 에스컬레이션하기 위해 잠재적인 악의적 행위자가 cluster-admin 역할에 대해 새 RoleBinding 또는 ClusterRoleBinding 객체를 만들려고 시도했습니다.
권한 에스컬레이션: 손상된 부트스트랩 사용자 인증 정보로 Kubernetes CSR 가져오기 GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Cloud 감사 로그:
GKE 데이터 액세스 로그
잠재적인 악의적 행위자가 손상된 부트스트랩 사용자 인증 정보를 사용하여 kubectl 명령어로 인증서 서명 요청(CSR)을 쿼리했습니다.
권한 에스컬레이션: 권한이 있는 Kubernetes 컨테이너 실행 GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Cloud 감사 로그:
GKE 관리자 활동 로그

잠재적으로 악의적인 행위자가 권한이 있는 컨테이너 또는 권한 에스컬레이션 기능이 있는 컨테이너를 포함하는 포드를 만들었습니다.

권한이 있는 컨테이너에는 privileged 필드가 true로 설정되어 있습니다. 권한 에스컬레이션 기능이 있는 컨테이너에서는 allowPrivilegeEscalation 필드가 true로 설정되어 있습니다. 자세한 내용은 Kubernetes 문서의 SecurityContext v1 core API 참조를 확인하세요.

지속성: 서비스 계정 키 생성됨 SERVICE_ACCOUNT_KEY_CREATION Cloud 감사 로그:
IAM 관리자 활동 감사 로그
서비스 계정 키 생성을 감지합니다. 서비스 계정 키는 Google Cloud 리소스에 대한 무단 액세스 위험을 증가시키는 장기 사용자 인증 정보입니다.
권한 에스컬레이션: 전역 종료 스크립트 추가됨 GLOBAL_SHUTDOWN_SCRIPT_ADDED Cloud 감사 로그:
IAM 관리자 활동 감사 로그
전역 종료 스크립트가 프로젝트에 추가될 때 이를 감지합니다.
지속성: 전역 시작 스크립트 추가됨 GLOBAL_STARTUP_SCRIPT_ADDED Cloud 감사 로그:
IAM 관리자 활동 감사 로그
전역 시작 스크립트가 프로젝트에 추가될 때 이를 감지합니다.
방어 회피: 조직 수준 서비스 계정 토큰 생성자 역할 추가됨 ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud 감사 로그:
IAM 관리자 활동 감사 로그
조직 수준에서 서비스 계정 토큰 생성자 IAM 역할이 부여될 때 이를 감지합니다.
방어 회피: 프로젝트 수준 서비스 계정 토큰 생성자 역할 추가됨 PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud 감사 로그:
IAM 관리자 활동 감사 로그
프로젝트 수준에서 서비스 계정 토큰 생성자 IAM 역할이 부여될 때 이를 감지합니다.
측면 이동: 서비스 계정의 OS 패치 실행 OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT Cloud 감사 로그.
IAM 관리자 활동 감사 로그
서비스 계정이 Compute Engine 패치 기능을 사용하여 현재 실행 중인 Compute Engine 인스턴스의 운영체제를 업데이트하면 이를 감지합니다.
측면 이동: 인스턴스에 연결된 수정된 부팅 디스크(미리보기) MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE Cloud 감사 로그:
Compute Engine 감사 로그
부팅 디스크가 하나의 Compute Engine 인스턴스에서 분리되어 다른 인스턴스에 연결되면 이를 감지합니다. 수정된 부팅 디스크를 사용하여 시스템을 손상시키려는 악의적인 시도일 수 있습니다.
사용자 인증 정보 액세스: Kubernetes 네임스페이스에서 보안 비밀 액세스됨 SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Cloud 감사 로그:
GKE 데이터 액세스 로그
현재 Kubernetes 네임스페이스의 서비스 계정이 보안 비밀 또는 서비스 계정 토큰에 액세스하면 이를 감지합니다.
리소스 개발: 공격적인 보안 배포 활동 OFFENSIVE_SECURITY_DISTRO_ACTIVITY Cloud 감사 로그:
IAM 관리자 활동 감사 로그
알려진 침투 시험 또는 공격적인 보안 배포에서 성공적인 Google Cloud 리소스 조작을 감지합니다.
권한 에스컬레이션: 신규 서비스 계정이 소유자 또는 편집자임 SERVICE_ACCOUNT_EDITOR_OWNER Cloud 감사 로그:
IAM 관리자 활동 감사 로그
신규 서비스 계정이 프로젝트의 편집자 또는 소유자 역할로 생성되면 이를 감지합니다.
탐색: 정보 수집 도구 사용됨 INFORMATION_GATHERING_TOOL_USED Cloud 감사 로그:
IAM 관리자 활동 감사 로그
위협 행위자가 사용하는 것으로 알려진 클라우드 보안 감사 도구인 ScoutSuite의 사용을 감지합니다.
권한 에스컬레이션: 의심스러운 토큰 생성 SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Cloud 감사 로그:
IAM 관리자 활동 감사 로그
권한이 더 많은 서비스 계정에서 액세스 토큰을 생성하기 위해 iam.serviceAccounts.implicitDelegation 권한이 악용되면 이를 감지합니다.
권한 에스컬레이션: 의심스러운 토큰 생성 SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT Cloud 감사 로그:
IAM 관리자 활동 감사 로그
서비스 계정이 다른 서비스 계정의 액세스 토큰을 생성하기 위해 serviceAccounts.signJwt 메서드를 사용하면 이를 감지합니다.
권한 에스컬레이션: 의심스러운 토큰 생성 SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Cloud 감사 로그:
IAM 관리자 활동 감사 로그

프로젝트 간 iam.serviceAccounts.getOpenIdToken IAM 권한의 사용을 감지합니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

권한 에스컬레이션: 의심스러운 토큰 생성 SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Cloud 감사 로그:
IAM 관리자 활동 감사 로그

프로젝트 간 iam.serviceAccounts.getAccessToken IAM 권한의 사용을 감지합니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

권한 에스컬레이션: 의심스러운 프로젝트 간 권한 사용 SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION Cloud 감사 로그:
IAM 관리자 활동 감사 로그

프로젝트 간 datafusion.instances.create IAM 권한의 사용을 감지합니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

명령어 및 제어: DNS 터널링 DNS_TUNNELING_IODINE_HANDSHAKE Cloud DNS 로그 DNS 터널링 도구 Iodine의 핸드셰이크를 감지합니다.
방어 회피: VPC 경로 매스커레이드 시도 VPC_ROUTE_MASQUERADE Cloud 감사 로그:
IAM 관리자 활동 감사 로그
Google Cloud 기본 경로로 매스커레이드하는 VPC 경로를 수동으로 생성하여 외부 IP 주소로의 이그레스 트래픽을 허용하면 이를 감지합니다.
영향: 결제 사용 중지됨 BILLING_DISABLED_SINGLE_PROJECT Cloud 감사 로그:
IAM 관리자 활동 감사 로그
프로젝트에 대한 결제가 사용 중지되면 이를 감지합니다.
영향: 결제 사용 중지됨 BILLING_DISABLED_MULTIPLE_PROJECTS Cloud 감사 로그:
IAM 관리자 활동 감사 로그
단기간에 조직의 여러 프로젝트에 대한 결제가 사용 중지되면 이를 감지합니다.
영향: VPC 방화벽 우선순위가 높은 블록 VPC_FIREWALL_HIGH_PRIORITY_BLOCK Cloud 감사 로그:
IAM 관리자 활동 감사 로그
모든 트래픽을 차단하는 VPC 방화벽 규칙이 우선순위 0으로 추가되면 이를 감지합니다.
영향: VPC 방화벽 대규모 규칙 삭제일시적으로 사용할 수 없음 VPC_FIREWALL_MASS_RULE_DELETION Cloud 감사 로그:
IAM 관리자 활동 감사 로그

비서비스 계정에 의한 VPC 방화벽 규칙의 대량 삭제를 감지합니다.

이 규칙은 일시적으로 사용할 수 없습니다. 방화벽 규칙 업데이트를 모니터링하려면 Cloud 감사 로그를 사용하세요.

영향: 서비스 API 사용 중지됨 SERVICE_API_DISABLED Cloud 감사 로그:
IAM 관리자 활동 감사 로그
프로덕션 환경에서 Google Cloud 서비스 API가 사용 중지되면 이를 감지합니다.
영향: 관리형 인스턴스 그룹 자동 확장이 최댓값으로 설정됨 MIG_AUTOSCALING_SET_TO_MAX Cloud 감사 로그:
IAM 관리자 활동 감사 로그
관리형 인스턴스 그룹이 최대 자동 확장을 위해 구성되면 이를 감지합니다.
탐색: 승인되지 않은 서비스 계정 API 호출 UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL Cloud 감사 로그:
IAM 관리자 활동 감사 로그
서비스 계정에서 승인되지 않은 프로젝트 간 API를 호출하면 이를 감지합니다.
방어 회피: 익명 세션에 클러스터 관리자 액세스 권한이 부여됨 ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN Cloud 감사 로그:
GKE 관리자 활동 로그
익명 사용자에게 root-cluster-admin-binding 동작을 추가하는 역할 기반 액세스 제어(RBAC) ClusterRoleBinding 객체의 생성을 감지합니다.
초기 액세스: 익명 GKE 리소스가 인터넷에서 생성됨(미리보기) GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Cloud 감사 로그:
GKE 관리자 활동 로그
사실상 익명의 인터넷 사용자에서 리소스 생성 이벤트를 감지합니다.
초기 액세스: GKE 리소스가 인터넷에서 익명으로 수정됨(미리보기) GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Cloud 감사 로그:
GKE 관리자 활동 로그
사실상 익명의 인터넷 사용자에서 리소스 조작 이벤트를 감지합니다.
권한 에스컬레이션: 사실상 익명 사용자에게 GKE 클러스터 액세스 권한이 부여됨(미리보기) GKE_ANONYMOUS_USERS_GRANTED_ACCESS Cloud 감사 로그:
GKE 관리자 활동 로그

누군가 다음 사용자 또는 그룹 중 하나를 참조하는 RBAC 바인딩을 만들었습니다.

  • system:anonymous
  • system:unauthenticated
  • system:authenticated

이러한 사용자 및 그룹은 사실상 익명이므로 RBAC 역할에 대한 역할 바인딩 또는 클러스터 역할 바인딩을 만들 때는 피해야 합니다. 바인딩이 필요한지 검토합니다. 바인딩이 필요하지 않으면 삭제합니다.

실행: 의심스러운 실행 또는 시스템 포드에 연결(미리보기) GKE_SUSPICIOUS_EXEC_ATTACH Cloud 감사 로그:
GKE 관리자 활동 로그
누군가 exec 또는 attach 명령어를 사용하여 셸을 가져오거나 kube-system 네임스페이스에서 실행 중인 컨테이너에서 명령어를 실행했습니다. 이러한 메서드는 합법적인 디버깅 목적으로 사용되기도 합니다. 하지만 kube-system 네임스페이스는 Kubernetes에서 만든 시스템 객체용이며 예기치 않은 명령어 실행이나 셸 생성은 검토해야 합니다.
권한 에스컬레이션: 민감한 호스트 경로 마운트로 생성된 워크로드(미리보기) GKE_SENSITIVE_HOSTPATH Cloud 감사 로그:
GKE 관리자 활동 로그
누군가 호스트 노드의 파일 시스템에서 민감한 경로에 hostPath 볼륨 마운트를 포함하는 워크로드를 만들었습니다. 호스트 파일 시스템의 이러한 경로에 대한 액세스 권한은 노드에서 권한이 있거나 민감한 정보에 액세스하고 컨테이너 이스케이프 처리하는 데 사용될 수 있습니다. 가능하면 클러스터에서 hostPath 볼륨을 허용하지 마세요.
권한 에스컬레이션: shareProcessNamespace가 사용 설정된 워크로드(미리보기) GKE_SHAREPROCESSNAMESPACE_POD Cloud 감사 로그:
GKE 관리자 활동 로그
누군가 모든 컨테이너가 동일한 Linux 프로세스 네임스페이스를 공유할 수 있도록 shareProcessNamespace 옵션을 true로 설정하여 워크로드를 배포했습니다. 이렇게 하면 신뢰할 수 없거나 손상된 컨테이너가 다른 컨테이너에서 실행되는 프로세스의 환경 변수, 메모리, 기타 민감한 정보에 액세스하고 이를 제어하여 권한을 에스컬레이션할 수 있습니다.
권한 에스컬레이션: 권한이 있는 동사가 포함된 ClusterRole(미리보기) GKE_CLUSTERROLE_PRIVILEGED_VERBS Cloud 감사 로그:
GKE 관리자 활동 로그
누군가 bind, escalate 또는 impersonate 동사가 포함된 RBAC ClusterRole을 만들었습니다. 이러한 동사로 역할에 바인딩된 주체는 더 높은 권한을 가진 다른 사용자를 가장하거나, 추가 권한이 포함된 추가 Roles 또는 ClusterRoles에 바인딩하거나, 자체 ClusterRole 권한을 수정할 수 있습니다. 이로 인해 해당 주체가 클러스터 관리자 권한을 얻을 수 있게 될 수 있습니다.
권한 에스컬레이션: 권한이 있는 역할에 대한 ClusterRoleBinding(미리보기) GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER Cloud 감사 로그:
GKE 관리자 활동 로그
누군가 기본 system:controller:clusterrole-aggregation-controller ClusterRole을 참조하는 RBAC ClusterRoleBinding을 만들었습니다. 이 기본 ClusterRole에는 사용자가 자신의 역할 권한을 수정하여 권한 에스컬레이션을 허용하는 escalate 동사가 있습니다.
방어 회피: 인증서 서명 요청(CSR)이 수동으로 삭제됨(미리보기) GKE_MANUALLY_DELETED_CSR Cloud 감사 로그:
GKE 관리자 활동 로그
누군가 인증서 서명 요청(CSR)을 수동으로 삭제했습니다. CSR은 가비지 컬렉션 컨트롤러에 의해 자동으로 삭제되지만 악의적인 행위자가 감지를 회피하기 위해 CSR을 수동으로 삭제할 수 있습니다. 삭제된 CSR이 승인 및 발급된 인증서에 대한 것이면 잠재적인 악의적 행위자는 이제 클러스터에 액세스할 수 있는 추가 인증 방법을 갖게 됩니다. 인증서에 연결된 권한은 포함된 주체에 따라 다르지만 권한이 높을 수 있습니다. Kubernetes는 인증서 취소를 지원하지 않습니다.
사용자 인증 정보 액세스: Kubernetes 인증서 서명 요청(CSR) 승인 시도 실패(미리보기) GKE_APPROVE_CSR_FORBIDDEN Cloud 감사 로그:
GKE 관리자 활동 로그
누군가 인증서 서명 요청(CSR)을 수동으로 승인하려고 했지만 실패했습니다. 클러스터 인증을 위한 인증서를 만드는 것은 공격자가 손상된 클러스터에 영구적으로 액세스하기 위해 흔히 사용하는 방법입니다. 인증서에 연결된 권한은 포함된 주체에 따라 다르지만 권한이 높을 수 있습니다.
사용자 인증 정보 액세스: 수동으로 승인된 Kubernetes 인증서 서명 요청(CSR)(미리보기) GKE_CSR_APPROVED Cloud 감사 로그:
GKE 관리자 활동 로그
누군가 인증서 서명 요청(CSR)을 수동으로 승인했습니다. 클러스터 인증을 위한 인증서를 만드는 것은 공격자가 손상된 클러스터에 영구적으로 액세스하기 위해 흔히 사용하는 방법입니다. 인증서에 연결된 권한은 포함된 주체에 따라 다르지만 권한이 높을 수 있습니다.
실행: 잠재적인 리버스 셸 인수로 생성된 Kubernetes 포드(미리보기) GKE_REVERSE_SHELL_POD Cloud 감사 로그:
GKE 관리자 활동 로그
누군가 일반적으로 리버스 셸과 연관된 명령어나 인수가 포함된 포드를 만들었습니다. 공격자는 리버스 셸을 사용하여 클러스터에 대한 초기 액세스를 확장 또는 유지하고 임의 명령어를 실행합니다.
방어 회피: 잠재적인 Kubernetes 포드 가장(미리보기) GKE_POD_MASQUERADING Cloud 감사 로그:
GKE 관리자 활동 로그
누군가 GKE가 일반 클러스터 운영을 위해 만드는 기본 워크로드와 유사한 이름 지정 규칙으로 포드를 배포했습니다. 이러한 기법을 가장이라고 합니다.
권한 에스컬레이션: 의심스러운 Kubernetes 컨테이너 이름 - 익스플로잇 및 이스케이프(미리보기) GKE_SUSPICIOUS_EXPLOIT_POD Cloud 감사 로그:
GKE 관리자 활동 로그
누군가 컨테이너 이스케이프에 사용되는 일반적인 도구와 유사한 이름 지정 규칙으로 포드를 배포했거나 클러스터에서 다른 공격을 실행했습니다.
영향: 의심스러운 Kubernetes 컨테이너 이름 - 암호화폐 채굴(미리보기) GKE_SUSPICIOUS_CRYPTOMINING_POD Cloud 감사 로그:
GKE 관리자 활동 로그
누군가 일반적인 암호화폐 코인 채굴기와 유사한 이름 지정 규칙으로 포드를 배포했습니다. 클러스터에 대한 초기 액세스 권한을 얻은 공격자가 암호화폐 채굴에 클러스터 리소스를 사용하려는 시도일 수 있습니다.

Event Threat Detection용 커스텀 모듈

Event Threat Detection은 기본 제공되는 감지 규칙 외에도 커스텀 감지 규칙을 만드는 데 사용할 수 있는 모듈 템플릿을 제공합니다. 자세한 내용은 Event Threat Detection용 커스텀 모듈 개요를 참조하세요.

사용 가능한 커스텀 모듈 템플릿이 없는 감지 규칙을 만들려면 로그 데이터를 BigQuery로 내보낸 다음 위협 모델을 캡처하는 고유 또는 반복 SQL 쿼리를 실행합니다.

안전하지 않은 Google 그룹 변경사항

이 섹션에서는 Event Threat Detection에서 Google Workspace 로그, Cloud 감사 로그, IAM 정책을 사용하여 안전하지 않은 Google 그룹스 변경사항을 감지하는 방법을 설명합니다. Google 그룹스 변경사항 감지는 조직 수준에서 Security Command Center를 활성화할 때만 지원됩니다.

Google Cloud 고객은 Google 그룹스를 사용하여 자신의 조직에 있는 구성원에 대해 역할 및 권한을 관리하거나 사용자 컬렉션에 액세스 정책을 적용할 수 있습니다. 구성원에 직접 역할을 부여하는 대신 관리자가 Google 그룹스에 역할 및 권한을 부여하고 구성원을 특정 그룹에 추가할 수 있습니다. 그룹 구성원은 구성원이 특정 리소스 및 서비스에 액세스할 수 있도록 그룹의 모든 역할 및 권한을 상속합니다.

Google 그룹스를 사용하면 액세스 제어를 규모에 맞게 편리하게 관리할 수 있지만, 조직 또는 도메인에 속하지 않은 외부 사용자가 권한이 있는 그룹(즉, 민감한 역할 또는 권한이 부여된 그룹)에 추가될 위험이 있습니다. 민감한 역할은 보안 및 네트워크 설정, 로그, 개인 식별 정보(PII)에 대한 액세스를 제어하며 외부 그룹 구성원에게는 추천되지 않습니다.

대규모 조직에서는 외부 구성원이 권한 있는 그룹에 추가되는 시기를 관리자가 알지 못할 수 있습니다. Cloud 감사 로그는 그룹에 대한 역할 부여를 기록하지만, 이러한 로그 이벤트에는 그룹 구성원에 대한 정보가 포함되어 있지 않으므로 일부 그룹 변경사항의 잠재적 영향을 가릴 수 있습니다.

Google Cloud와 Google Workspace 로그를 공유하는 경우 Event Threat Detection에서 조직의 Google 그룹스에 추가된 새 구성원의 로깅 스트림을 모니터링합니다. 로그는 조직 수준에 있으므로 Event Threat Detection은 조직 수준에서 Security Command Center를 활성화할 때만 Google Workspace 로그를 스캔할 수 있습니다. 프로젝트 수준에서 Security Command Center를 활성화하면 Event Threat Detection에서 이러한 로그를 스캔할 수 없습니다.

Event Threat Detection은 외부 그룹 구성원을 식별하고, Cloud 감사 로그를 사용해서 영향을 받는 각 그룹의 IAM 역할을 검토하여 그룹에 중요한 역할이 부여되었는지 확인합니다. 이 정보는 권한 있는 Google 그룹스에서 다음과 같은 안전하지 않은 변경사항을 감지하기 위해 사용됩니다.

  • 외부 그룹 구성원이 권한 있는 그룹에 추가됨
  • 민감한 역할 또는 권한이 외부 그룹 구성원이 있는 그룹에 부여됨
  • 일반 대중 누구나 참여할 수 있도록 변경된, 권한 있는 그룹

Event Threat Detection은 발견 항목을 Security Command Center에 기록합니다. 발견 항목에는 새로 추가된 외부 구성원의 이메일 주소, 이벤트를 시작하는 내부 그룹 구성원, 그룹 이름, 그룹과 연결된 중요한 역할이 포함되어 있습니다. 이 정보를 사용하여 그룹에서 외부 구성원을 삭제하거나 그룹에 부여된 중요한 역할을 취소할 수 있습니다.

Event Threat Detection 발견 항목에 대한 자세한 내용은 Event Threat Detection 규칙을 참조하세요.

중요한 IAM 역할 및 권한

이 섹션에서는 Event Threat Detection에서 민감한 IAM 역할을 정의하는 방법을 설명합니다. IAM 비정상적인 권한 부여 및 안전하지 않은 Google 그룹 변경과 같은 감지는 변경사항에 높음 또는 중간 민감도의 역할이 포함된 경우에만 발견 항목을 생성합니다. 역할의 민감도가 발견 항목에 할당된 심각도에 영향을 미칩니다.

  • 높음 민감도 역할은 결제, 방화벽 설정, 로깅을 포함한 조직의 중요 서비스를 제어합니다. 이러한 역할과 일치하는 발견 항목은 심각도가 높음으로 분류됩니다.
  • 중간 민감도 역할에는 주 구성원이 Google Cloud 리소스를 변경할 수 있는 수정 권한이 있으며, 흔히 민감한 정보를 보유하고 있는 데이터 저장소 서비스에 대한 보기 및 실행 권한이 있습니다. 발견 항목에 할당되는 심각도는 리소스에 따라 다릅니다.
    • 중간 민감도 역할이 조직 수준에서 부여되면 발견 항목은 높음 심각도로 분류됩니다.
    • 중간 민감도 역할이 리소스 계층 구조(폴더, 프로젝트, 버킷 등)의 낮은 수준에서 부여되면 발견 항목은 중간 심각도로 분류됩니다.

피부여자가 외부 구성원이거나 장기간 비활성 상태인 주 구성원과 같은 비정상적인 ID인 경우 이러한 민감한 역할을 부여하는 것은 위험한 것으로 간주됩니다.

외부 구성원에게 민감한 역할을 부여하면 계정 손상 및 데이터 무단 반출에 악용될 수 있으므로 잠재적인 위협이 발생합니다.

이러한 민감한 역할을 사용하는 카테고리를 찾는 방법은 다음과 같습니다.

  • 지속성: IAM 비정상적인 권한 부여
    • 하위 규칙: external_service_account_added_to_policy
    • 하위 규칙: external_member_added_to_policy
  • 사용자 인증 정보 액세스: 하이브리드 그룹에 부여된 중요한 역할
  • 권한 에스컬레이션: 휴면 서비스 계정에 민감한 역할 부여

민감한 역할의 하위 집합을 사용하는 카테고리를 찾는 방법은 다음과 같습니다.

  • 지속성: IAM 비정상적인 권한 부여
    • 하위 규칙: service_account_granted_sensitive_role_to_member

service_account_granted_sensitive_role_to_member 하위 규칙은 일반적으로 외부 및 내부 구성원 모두를 대상으로 하므로 Event Threat Detection 규칙에 설명된 대로 민감한 역할의 하위 집합만 사용합니다.

카테고리 역할 설명
기본 역할: 모든 Google Cloud 서비스에서 수천 개의 권한을 포함합니다. roles/owner 기본 역할
roles/editor
보안 역할: 보안 설정에 대한 액세스 제어 roles/cloudkms.* 모든 Cloud Key Management Service 역할
roles/cloudsecurityscanner.* 모든 Web Security Scanner 역할
roles/dlp.* 모든 Sensitive Data Protection 역할
roles/iam.* 모든 IAM 역할
roles/secretmanager.* 모든 Secret Manager 역할
roles/securitycenter.* 모든 Security Command Center 역할
Logging 역할: 조직 로그에 대한 액세스 제어 roles/errorreporting.* 모든 Error Reporting 역할
roles/logging.* 모든 Cloud Logging 역할
roles/stackdriver.* 모든 Cloud Monitoring 역할
개인 정보 역할: 은행 및 연락처 정보를 포함하여 개인 식별 정보가 포함된 리소스에 대한 액세스 제어 roles/billing.* 모든 Cloud Billing 역할
roles/healthcare.* 모든 Cloud Healthcare API 역할
roles/essentialcontacts.* 모든 필수 연락처 역할
네트워킹 역할: 조직의 네트워크 설정에 대한 액세스 제어 roles/dns.* 모든 Cloud DNS 역할
roles/domains.* 모든 Cloud Domains 역할
roles/networkconnectivity.* 모든 Network Connectivity Center 역할
roles/networkmanagement.* 모든 Network Connectivity Center 역할
roles/privateca.* 모든 Certificate Authority Service 역할
서비스 역할: Google Cloud의 서비스 리소스에 대한 액세스 제어 roles/cloudasset.* 모든 Cloud 애셋 인벤토리 역할
roles/servicedirectory.* 모든 서비스 디렉터리 역할
roles/servicemanagement.* 모든 서비스 관리 역할
roles/servicenetworking.* 모든 서비스 네트워킹 역할
roles/serviceusage.* 모든 서비스 사용량 역할
Compute Engine 역할: 장기 실행 작업을 수행하고 방화벽 규칙과 연결된 Compute Engine 가상 머신에 대한 액세스 제어

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

모든 Compute Engine 관리자편집자 역할
카테고리 역할 설명
수정 역할: Google Cloud 리소스를 변경할 수 있는 권한이 포함된 IAM 역할

예시:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

역할 이름은 일반적으로 관리자, 소유자, 편집자 또는 작성자와 같은 명칭으로 끝납니다.

표의 마지막 행에서 노드를 확장하여 모든 중간 중요도 역할을 확인합니다.

데이터 스토리지 역할: 데이터 스토리지 서비스를 보고 실행할 수 있는 권한이 포함된 IAM 역할

예시:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

표의 마지막 행에서 노드를 확장하여 모든 중간 중요도 역할을 확인합니다.
모든 중간 중요도 역할

액세스 승인

  • roles/accessapproval.approver
  • roles/accessapproval.configEditor

Access Context Manager

  • roles/accesscontextmanager.gcpAccessAdmin
  • roles/accesscontextmanager.policyAdmin
  • roles/accesscontextmanager.policyEditor

작업

  • roles/actions.Admin

AI Platform

  • roles/ml.admin
  • roles/ml.developer
  • roles/ml.jobOwner
  • roles/ml.modelOwner
  • roles/ml.modelUser

API 게이트웨이

  • roles/apigateway.admin

App Engine

  • roles/appengine.appAdmin
  • roles/appengine.appCreator
  • roles/appengine.serviceAdmin

AutoML

  • roles/automl.admin
  • roles/automl.editor

BigQuery

  • roles/bigquery.admin
  • roles/bigquery.dataEditor
  • roles/bigquery.dataOwner
  • roles/bigquery.dataViewer
  • roles/bigquery.resourceAdmin
  • roles/bigquery.resourceEditor
  • roles/bigquery.resourceViewer
  • roles/bigquery.user

Binary Authorization

  • roles/binaryauthorization.attestorsAdmin
  • roles/binaryauthorization.attestorsEditor
  • roles/binaryauthorization.policyAdmin
  • roles/binaryauthorization.policyEditor

Bigtable

  • roles/bigtable.admin
  • roles/bigtable.reader
  • roles/bigtable.user

Cloud Build

  • roles/cloudbuild.builds.builder
  • roles/cloudbuild.builds.editor

Cloud Deployment Manager

  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor

Cloud Endpoints

  • roles/endpoints.portalAdmin베타

Cloud Run Functions

  • roles/cloudfunctions.admin
  • roles/cloudfunctions.developer
  • roles/cloudfunctions.invoker

Cloud IoT

  • roles/cloudiot.admin
  • roles/cloudiot.deviceController
  • roles/cloudiot.editor
  • roles/cloudiot.provisioner

Cloud Life Sciences

  • roles/genomics.admin
  • roles/genomics.admin
  • roles/lifesciences.admin
  • roles/lifesciences.editor

Cloud Monitoring

  • roles/monitoring.admin
  • roles/monitoring.alertPolicyEditor
  • roles/monitoring.dashboardEditor
  • roles/monitoring.editor
  • roles/monitoring.metricWriter
  • roles/monitoring.notificationChannelEditor
  • roles/monitoring.servicesEditor
  • roles/monitoring.uptimeCheckConfigEditor

Cloud Run

  • roles/run.admin
  • roles/run.developer

Cloud Scheduler

  • roles/cloudscheduler.admin

Cloud Source Repositories

  • roles/source.admin
  • roles/source.writer

Spanner

  • roles/spanner.admin
  • roles/spanner.backupAdmin
  • roles/spanner.backupWriter
  • roles/spanner.databaseAdmin
  • roles/spanner.restoreAdmin
  • roles/spanner.databaseReader
  • roles/spanner.databaseUser

Cloud Storage

  • roles/storage.admin
  • roles/storage.hmacKeyAdmin
  • roles/storage.objectAdmin
  • roles/storage.objectCreator
  • roles/storage.objectViewer
  • roles/storage.legacyBucketOwner
  • roles/storage.legacyBucketWriter
  • roles/storage.legacyBucketReader
  • roles/storage.legacyObjectOwner
  • roles/storage.legacyObjectReader

Cloud SQL

  • roles/cloudsql.admin
  • roles/cloudsql.editor
  • roles/cloudsql.client
  • roles/cloudsql.instanceUser
  • roles/cloudsql.viewer

Cloud Tasks

  • roles/cloudtasks.admin
  • roles/cloudtasks.enqueuer
  • roles/cloudtasks.queueAdmin
  • roles/cloudtasks.taskDeleter

Cloud TPU

  • tpu.admin

Cloud Trace

  • roles/cloudtrace.admin
  • roles/cloudtrace.agent

Compute Engine

  • roles/compute.imageUser
  • roles/compute.osLoginExternalUser
  • roles/osconfig.guestPolicyAdmin
  • roles/osconfig.guestPolicyEditor
  • roles/osconfig.osPolicyAssignmentAdmin
  • roles/osconfig.osPolicyAssignmentEditor
  • roles/osconfig.patchDeploymentAdmin

Artifact Analysis

  • roles/containeranalysis.admin
  • roles/containeranalysis.notes.attacher
  • roles/containeranalysis.notes.editor
  • roles/containeranalysis.occurrences.editor

Data Catalog

  • roles/datacatalog.admin
  • roles/datacatalog.categoryAdmin
  • roles/datacatalog.entryGroupCreator
  • roles/datacatalog.entryGroupOwner
  • roles/datacatalog.entryOwner

Dataflow

  • roles/dataflow.admin
  • roles/dataflow.developer

Dataproc

  • roles/dataproc.admin
  • roles/dataproc.editor

Dataproc Metastore

  • roles/metastore.admin
  • roles/metastore.editor

Datastore

  • roles/datastore.importExportAdmin
  • roles/datastore.indexAdmin
  • roles/datastore.owner
  • roles/datastore.user

Eventarc

  • roles/eventarc.admin
  • roles/eventarc.developer
  • roles/eventarc.eventReceiver

Filestore

  • roles/file.editor

Firebase

  • roles/firebase.admin
  • roles/firebase.analyticsAdmin
  • roles/firebase.developAdmin
  • roles/firebase.growthAdmin
  • roles/firebase.qualityAdmin
  • roles/firebaseabt.admin
  • roles/firebaseappcheck.admin
  • roles/firebaseappdistro.admin
  • roles/firebaseauth.admin
  • roles/firebasecrashlytics.admin
  • roles/firebasedatabase.admin
  • roles/firebasedynamiclinks.admin
  • roles/firebasehosting.admin
  • roles/firebaseinappmessaging.admin
  • roles/firebaseml.admin
  • roles/firebasenotifications.admin
  • roles/firebaseperformance.admin
  • roles/firebasepredictions.admin
  • roles/firebaserules.admin
  • roles/firebasestorage.admin
  • roles/cloudconfig.admin
  • roles/cloudtestservice.testAdmin

Game Servers

  • roles/gameservices.admin

Google Cloud VMware Engine

  • vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

  • roles/container.admin
  • roles/container.clusterAdmin
  • roles/container.developer

Google Kubernetes Engine Hub

  • roles/gkehub.admin
  • roles/gkehub.gatewayAdmin
  • roles/gkehub.connect

Google Workspace

  • roles/gsuiteaddons.developer

IAP(Identity-Aware Proxy)

  • roles/iap.admin
  • roles/iap.settingsAdmin

Microsoft Active Directory용 관리형 서비스

  • roles/managedidentities.admin
  • roles/managedidentities.domainAdmin
  • roles/managedidentities.viewer

Redis용 Memorystore

  • roles/redis.admin
  • roles/redis.editor

On-Demand Scanning API

  • roles/ondemandscanning.admin

작업 구성 모니터링

  • roles/opsconfigmonitoring.resourceMetadata.writer

조직 정책 서비스

  • roles/axt.admin
  • roles/orgpolicy.policyAdmin

기타 역할

  • roles/autoscaling.metricsWriter
  • roles/autoscaling.sitesAdmin
  • roles/autoscaling.stateWriter
  • roles/chroniclesm.admin
  • roles/dataprocessing.admin
  • roles/earlyaccesscenter.admin
  • roles/firebasecrash.symbolMappingsAdmin
  • roles/identityplatform.admin
  • roles/identitytoolkit.admin
  • roles/oauthconfig.editor
  • roles/retail.admin
  • roles/retail.editor
  • roles/runtimeconfig.admin

근접도 비콘

  • roles/proximitybeacon.attachmentEditor
  • roles/proximitybeacon.beaconEditor

Pub/Sub

  • roles/pubsub.admin
  • roles/pubsub.editor

Pub/Sub 라이트

  • roles/pubsublite.admin
  • roles/pubsublite.editor
  • roles/pubsublite.publisher

reCAPTCHA

  • roles/recaptchaenterprise.admin
  • roles/recaptchaenterprise.agent

권장사항

  • roles/automlrecommendations.admin
  • roles/automlrecommendations.editor

추천자

  • roles/recommender.billingAccountCudAdmin
  • roles/recommender.cloudAssetInsightsAdmin
  • roles/recommender.cloudsqlAdmin
  • roles/recommender.computeAdmin
  • roles/recommender.firewallAdmin
  • roles/recommender.iamAdmin
  • roles/recommender.productSuggestionAdmin
  • roles/recommender.projectCudAdmin

Resource Manager

  • roles/resourcemanager.folderAdmin
  • roles/resourcemanager.folderCreator
  • roles/resourcemanager.folderEditor
  • roles/resourcemanager.folderIamAdmin
  • roles/resourcemanager.folderMover
  • roles/resourcemanager.lienModifier
  • roles/resourcemanager.organizationAdmin
  • roles/resourcemanager.projectCreator
  • roles/resourcemanager.projectDeleter
  • roles/resourcemanager.projectIamAdmin
  • roles/resourcemanager.projectMover
  • roles/resourcemanager.tagAdmin

리소스 설정

  • roles/resourcesettings.admin

서버리스 VPC 액세스

  • roles/vpcaccess.admin

서비스 소비자 관리

  • roles/serviceconsumermanagement.tenancyUnitsAdmin

Storage Transfer Service

  • roles/storagetransfer.admin
  • roles/storagetransfer.user

Vertex AI

  • roles/aiplatform.admin
  • roles/aiplatform.featurestoreAdmin
  • roles/aiplatform.migrator
  • roles/aiplatform.user

Vertex AI Workbench 사용자 관리 노트북

  • roles/notebooks.admin
  • roles/notebooks.legacyAdmin

Workflows

  • roles/workflows.admin
  • roles/workflows.editor

로그 유형 및 활성화 요구사항

이 섹션에는 Event Threat Detection에서 사용하는 로그와 Event Threat Detection이 각 로그에서 찾는 위협과 함께 각 로그를 사용 설정하기 위해 수행해야 하는 작업이 나와 있습니다.

다음 조건이 모두 충족되는 경우에만 Event Threat Detection에 로그를 사용 설정해야 합니다.

  • 로그에 쓰는 제품 또는 서비스를 사용하고 있습니다.
  • Event Threat Detection이 로그에서 감지하는 위협으로부터 제품 또는 서비스를 보호해야 합니다.
  • 데이터 액세스 감사 로그 또는 기본적으로 사용 중지되어 있는 기타 로그입니다.

특정 위협은 여러 로그에서 감지될 수 있습니다. Event Threat Detection이 이미 사용 설정된 로그에서 위협을 감지할 수 있는 경우 다른 로그를 사용 설정하지 않아도 동일한 위협이 감지됩니다.

로그가 이 섹션에 나열되지 않으면 Event Threat Detection이 사용 설정되어 있더라도 로그를 스캔하지 않습니다. 자세한 내용은 잠재적 중복 로그 스캔을 참조하세요.

다음 표에 설명된 대로 일부 로그 유형은 조직 수준에서만 사용할 수 있습니다. 프로젝트 수준에서 Security Command Center를 활성화하면 Event Threat Detection에서 이러한 로그를 스캔하지 않고 발견 항목을 생성하지 않습니다.

잠재적 중복 로그 스캔

Event Threat Detection은 다음 로그 중 하나를 스캔하여 네트워크에서 멀웨어를 감지할 수 있습니다.

  • Cloud DNS 로깅
  • Cloud NAT 로깅
  • 방화벽 규칙 로깅
  • VPC 흐름 로그

이미 Cloud DNS 로깅을 사용하고 있다면 Event Threat Detection에서 도메인 변환을 사용하여 멀웨어를 감지할 수 있습니다. 대부분의 사용자의 경우 Cloud DNS 로그만으로도 멀웨어를 네트워크에서 감지하기에 충분합니다.

도메인 변환 범위보다 더 높은 수준의 가시성이 필요한 경우 VPC 흐름 로그를 사용 설정할 수 있지만 VPC 흐름 로그에는 비용이 발생할 수 있습니다. 이러한 비용을 관리하려면 집계 간격을 15분으로 늘리고 샘플링 레이트를 5% ~10%로 줄이는 것이 좋지만 재현율(더 높은 샘플)과 비용 관리(샘플링 레이트 감소) 간에 적절한 균형을 맞춰야 합니다.

이미 방화벽 규칙 로깅 또는 Cloud NAT 로깅을 사용하고 있다면 이러한 로그를 VPC 흐름 로그 대신 사용하면 유용합니다.

Cloud NAT 로깅, 방화벽 규칙 로깅, VPC 흐름 로그 중 두 개 이상을 사용 설정할 필요는 없습니다.

사용 설정해야 하는 로그

이 섹션에서는 Event Threat Detection에서 감지할 수 있는 위협 수를 늘리기 위해 사용 설정하거나 구성할 수 있는 Cloud Logging 및 Google Workspace 로그를 보여줍니다.

서비스 계정의 비정상적인 가장 또는 위임으로 인한 위협과 같은 특정 위협은 대부분의 감사 로그에서 확인할 수 있습니다. 이러한 유형의 위협과 관련해 사용 중인 제품 및 서비스에 따라 사용 설정해야 하는 로그를 결정합니다.

다음 표에서는 특정 로그 유형에서만 감지될 수 있는 위협과 관련해 사용 설정해야 하는 특정 로그를 보여줍니다.

로그 유형 감지된 위협 구성 필요
Cloud DNS 로깅

Log4j Malware: Bad Domain

Malware: bad domain

Malware: Cryptomining Bad Domain

Cloud DNS 로깅 사용 설정
Cloud NAT 로깅

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

Cloud NAT 로깅 사용 설정
방화벽 규칙 로깅

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

방화벽 규칙 로깅 사용 설정
Google Kubernetes Engine(GKE) 데이터 액세스 감사 로그

Discovery: Can get sensitive Kubernetes object check

Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials

GKE의 데이터 액세스 감사 로그 로깅 활성화
Google Workspace 관리자 감사 로그

Credential Access: Privileged Group Opened To Public

Impair Defenses: Strong Authentication Disabled

Impair Defenses: Two Step Verification Disabled

Persistence: SSO Enablement Toggle

Persistence: SSO Settings Changed

Cloud Logging과 Google Workspace 관리자 감사 로그 공유

프로젝트 수준 활성화에서는 이 로그 유형을 스캔할 수 없습니다.

Google Workspace 로그인 감사 로그

Credential Access: External Member Added To Privileged Group

Impair Defenses: Two Step Verification Disabled

Initial Access: Account Disabled Hijacked

Initial Access: Disabled Password Leak

Initial Access: Government Based Attack

Initial Access: Suspicious Login Blocked

Cloud Logging과 Google Workspace 로그인 감사 로그 공유

프로젝트 수준 활성화에서는 이 로그 유형을 스캔할 수 없습니다.

외부 애플리케이션 부하 분산기 백엔드 서비스 로그 Initial Access: Log4j Compromise Attempt 외부 애플리케이션 부하 분산기 로깅 사용 설정
Cloud SQL MySQL 데이터 액세스 감사 로그 Exfiltration: Cloud SQL Data Exfiltration MySQL용 Cloud SQL의 데이터 액세스 감사 로깅 활성화
Cloud SQL PostgreSQL 데이터 액세스 감사 로그

Exfiltration: Cloud SQL Data Exfiltration

Exfiltration: Cloud SQL Over-Privileged Grant

PostgreSQL용 AlloyDB 데이터 액세스 감사 로그

Privilege Escalation: AlloyDB Database Superuser Writes to User Tables

Privilege Escalation: AlloyDB Over-Privileged Grant

IAM 데이터 액세스 감사 로그 Discovery: Service Account Self-Investigation Resource Manager의 데이터 액세스 감사 로깅 활성화
SQL 서버 데이터 액세스 감사 로그 Exfiltration: Cloud SQL Data Exfiltration SQL 서버용 Cloud SQL의 데이터 액세스 감사 로그 로깅 활성화
일반 데이터 액세스 감사 로그

Initial Access: Leaked Service Account Key Used

Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access

Privilege Escalation: Anomalous Service Account Impersonator for Data Access

데이터 액세스 감사 로깅 활성화
가상 머신의 authlog Brute force SSH VM 호스트에 운영 에이전트 또는 기존 Logging 에이전트 설치
VPC 흐름 로그

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

VPC 흐름 로그 사용 설정
백업 및 DR 감사 로깅

Data destruction: Google Cloud Backup and DR expire all images

Inhibit system recovery: Google Cloud Backup and DR delete policy

Inhibit system recovery: Google Cloud Backup and DR delete template

Inhibit system recovery: Google Cloud Backup and DR delete profile

Inhibit system recovery: Google Cloud Backup and DR delete storage pool

Inhibit system recovery: deleted Google Cloud Backup and DR host

Data destruction: Google Cloud Backup and DR expire image

Data destruction: Google Cloud Backup and DR remove appliance

Inhibit system recovery: Google Cloud Backup and DR remove plan

Impact: Google Cloud Backup and DR reduce backup expiration

Impact: Google Cloud Backup and DR reduce backup frequency

백업 및 DR 감사 로깅 사용 설정

상시 사용 설정되는 로그

다음 표에는 사용 설정하거나 구성할 필요가 없는 Cloud Logging 로그가 나와 있습니다. 이러한 로그는 상시 사용 설정되며 Event Threat Detection에서 자동으로 스캔합니다.

로그 유형 감지된 위협 구성 필요
BigQueryAuditMetadata 데이터 액세스 로그

유출: BigQuery 데이터 무단 반출

유출: BigQuery 데이터 추출

유출: Google 드라이브에 대한 BigQuery 데이터

유출: 공개 BigQuery 리소스로 이동(미리보기)

없음
Google Kubernetes Engine(GKE) 관리자 활동 감사 로그

권한 에스컬레이션: 민감한 Kubernetes RBAC 객체 변경

권한 에스컬레이션: 민감한 Kubernetes 바인딩 만들기

권한 에스컬레이션: 권한이 있는 Kubernetes 컨테이너 실행

권한 에스컬레이션: 마스터 인증서에 대한 Kubernetes CSR 만들기

방어 회피: 익명 세션에 클러스터 관리자 액세스 권한이 부여됨

초기 액세스: 익명 GKE 리소스가 인터넷에서 생성됨(미리보기)

초기 액세스: GKE 리소스가 인터넷에서 익명으로 수정됨(미리보기)

권한 에스컬레이션: 사실상 익명 사용자에게 GKE 클러스터 액세스 권한이 부여됨(미리보기)

실행: 의심스러운 실행 또는 시스템 포드에 연결(미리보기)

권한 에스컬레이션: 민감한 호스트 경로 마운트로 생성된 워크로드(미리보기)

권한 에스컬레이션: shareProcessNamespace가 사용 설정된 워크로드(미리보기)

권한 에스컬레이션: 권한이 있는 동사가 포함된 ClusterRole(미리보기)

권한 에스컬레이션: 권한이 있는 역할에 대한 ClusterRoleBinding(미리보기)

방어 회피: 인증서 서명 요청(CSR)이 수동으로 삭제됨(미리보기)

사용자 인증 정보 액세스: Kubernetes 인증서 서명 요청(CSR) 승인 시도 실패(미리보기)

사용자 인증 정보 액세스: 수동으로 승인된 Kubernetes 인증서 서명 요청(CSR)(미리보기)

실행: 잠재적인 리버스 셸 인수로 생성된 Kubernetes 포드(미리보기)

방어 회피: 잠재적인 Kubernetes 포드 가장(미리보기)

권한 에스컬레이션: 의심스러운 Kubernetes 컨테이너 이름 - 익스플로잇 및 이스케이프(미리보기)

영향: 의심스러운 Kubernetes 컨테이너 이름 - 암호화폐 채굴(미리보기)

없음
IAM 관리자 활동 감사 로그

사용자 인증 정보 액세스: 하이브리드 그룹에 부여된 중요한 역할

권한 에스컬레이션: 휴면 서비스 계정에 민감한 역할 부여

지속성: 휴면 서비스 계정에 부여된 가장 역할

지속성: IAM 비정상적인 권한 부여(미리보기)

지속성: 비관리 계정에 민감한 역할 부여

없음
MySQL 관리자 활동 로그 유출: 외부 조직으로 Cloud SQL 복원 백업 없음
PostgreSQL 관리자 활동 로그 유출: 외부 조직으로 Cloud SQL 복원 백업 없음
SQL 서버 관리자 활동 로그 유출: 외부 조직으로 Cloud SQL 복원 백업 없음
일반 관리자 활동 감사 로그

초기 액세스: 휴면 서비스 계정 작업

초기 액세스: 휴면 서비스 계정 키 생성됨

초기 액세스: 과도한 권한 거부 작업

초기 액세스: 유출된 서비스 계정 키 사용됨

지속성: Compute Engine 관리자가 SSH 키를 추가함

지속성: Compute Engine 관리자가 시작 스크립트를 추가함

지속성: 새로운 API 메서드

지속성: 새로운 지역

지속성: 새로운 사용자 에이전트

권한 에스컬레이션: 관리자 활동을 위한 비정상적인 서비스 계정 가장

권한 에스컬레이션: 관리자 활동을 위한 비정상적인 다단계 서비스 계정 위임

권한 에스컬레이션: 관리자 활동을 위한 비정상적인 서비스 계정 가장

측면 이동: 인스턴스에 연결된 수정된 부팅 디스크(미리보기)

없음
VPC 서비스 제어 감사 로그 방어 회피: VPC 서비스 제어 수정(미리보기) 없음

다음 단계